谷歌发布了 2021 年零项目审查,揭示了一些世界上最大的科技公司展示的创纪录数量的零日攻击(标记为“最先进的攻击方法之一”)。
Project Zero 是 Google 于 2014 年发起的一项计划,旨在详细说明被称为零日漏洞的安全缺陷。这些漏洞很危险,因为除非实施了缓解系统,否则它们基本上不会被发现,从而使系统、数据库等完全暴露给黑客。
2021 年年终报告证实,发现了 58 个零日漏洞。这是自零号项目成立以来检测到的最高数量——2015 年是之前的记录保持者,共有 28 个数字漏洞。
相比之下,在大流行最严重的时候,黑客加大了恶意网络犯罪活动的力度,谷歌的安全团队在 2020 年披露了 25 个安全漏洞。
谷歌强调,公开详细记录的 58 个零日攻击并不一定表明“零日攻击的使用增加”。相反,该公司将其归因于“这些零日漏洞的检测和披露增加”。
“很有可能在 2021 年,还有其他零日漏洞在野外被利用并被检测到,但供应商在其发行说明中并未提及这一点。在 2022 年,我们希望更多供应商在修补已在野外利用的漏洞时开始注意到。在我们确信所有供应商都在公开状态下透明地披露之前,有一个很大的问题是发现了多少野生零日漏洞,但供应商没有公开标记。”
该报告分析的第一个零日漏洞利用涉及谷歌自己的 Chromium,它为其 Chrome 浏览器提供开源代码。
Chromium 出现了创纪录的 14 个零日漏洞。这些漏洞包括 10 个远程代码执行错误、2 个沙箱逃逸和 1 个信息泄漏。最后一个零日漏洞导致黑客试图在基于 Android 的应用程序而不是 Chrome 中打开网页。
在其他地方,发现了 7 个 Android 零日漏洞——与 2019 年发现的单个漏洞相比有了很大的飞跃,顺便说一句,这是零项目团队发现的与谷歌移动操作系统有关的唯一其他发现。
苹果、iOS、MacOS 和 Windows
谷歌还提到了 WebKit,这是苹果公司为 Safari 提供支持的网络浏览器引擎。据谷歌称,在 2021 年之前,苹果只披露了一项旨在渗透 WebKit/Safari 的公开零日漏洞利用。即便如此,披露还是通过第三方研究人员的研究实现的。
然而,在 2021 年,有 7 个零日漏洞与 Apple 的网络浏览器相关,其中 4 个涉及 Safari 的 Javascript 引擎组件。
在详细说明 0day 漏洞利用时,打破了这家科技巨头以前的秘密性质,“2021 年是 Apple 在其发布说明中以漏洞的狂野状态注释的第一年。”
为此,苹果确认了五个 iOS 零日漏洞,同时也发现了第一个公开发现的 MacOS 零日漏洞。
Apple 非常重视针对 iOS 和 Mac 系统的安全措施。毕竟,它给了一个学生 100,000 美元用于破解后者。
至于微软,谷歌详细介绍了 10 个针对七个独立元素的 Windows 零日漏洞,包括增强型加密提供程序(当然,这并不奇怪)、NTOS 内核和 Win32k。
“与往年相比,Windows 是我们看到的目标组件变化最大的平台。然而,这种转变通常已经进行了几年,并预计到 2020 年 Windows 7 的生命周期结束,因此它仍然不是特别新颖,”谷歌表示。
Windows 11 在发布后也遭受了零日黑客攻击。然而,在某些情况下,在漏洞发现方面,微软的支付不如苹果高:支付显然从 10,000 美元降至 1,000 美元。
此外,在 2021 年期间,还发现了 5 个连接到 Microsoft Exchange Server 的零日漏洞。报告补充说:“这是自我们开始跟踪野外零日漏洞以来,首次发现并披露任何在野外零日漏洞中的 Exchange Server。”
黑客坚持使用久经考验的方法
在报告的新年,旧技术部分,谷歌强调,尽管 2021 年的“数据点”数量创历史新高,“以了解攻击者如何实际使用零日攻击”,但它识别所有这些数据实际上令人惊讶——“没有什么新鲜事。”
“零日攻击被认为是攻击者可以使用的最先进的攻击方法之一,因此很容易得出结论,攻击者必须使用特殊技巧和攻击面。但相反,我们在 2021 年看到的零日漏洞通常遵循与以前在公共研究中看到的相同的错误模式、攻击面和利用“形状”。
在 58 个零日漏洞中,大约 67% 是内存损坏漏洞。谷歌表示,考虑到这一特定类别是“过去几十年”进入软件的首选方法这一事实,这应该不足为奇,这在很大程度上是攻击者继续攻击的原因。成功访问其目标。
谷歌在其报告的最后发表了一份关于零日攻击的影响和成功攻击的后果的声明。
“虽然这个星球上的大多数人不需要担心自己被零日漏洞攻击的个人风险,但零日漏洞利用仍然影响着我们所有人。这些零日攻击往往会对社会产生巨大的影响,因此我们需要继续尽我们所能,让攻击者更难在这些攻击中取得成功。 2021 年向我们表明,我们正走在正确的轨道上并取得进展,但要让零日变得更加困难,还有很多工作要做。”
随着世界变得比以往任何时候都更加数字化和技术驱动,网络犯罪分子通过剥削个人赚取数十亿美元。
随着网络犯罪的全面增加, 去年从人们身上窃取了近 70 亿美元,这主要归因于某些犯罪类型,例如个人数据泄露(清理密码)和勒索软件。